接入认证:802.1X、Portal认证、MAC地址认证结合端口安全


802.1X是为了解决无线局域网安全问题提出来的,后来被以太网广泛应用 、2004年完成标准化
802.1X协议是一种基于端口的网络接入控制协议
802.1X通常与radius配合使用对接入用户的认证授权
802.1X技术可以扩展到基于MAC地址对用户接入进行控制,对同一个物理口上的多个用户分别进行认证控制
vlan最常用的划分方式是基于端口划分,该方式对于从同一端口进入的untagged报文添加相同的vlan标签,同一vlan内进行转发处理,一般场合用于固定的办公环境


802.1X两个端口角色:
1、非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧保证客户端始终能够出或认证报文,只有在通过认证后才会切换到授权状态
2、受控端口始终处于双向连通状态,用于传递业务报文,在非授权状态下禁止从客户端接收任何报文

EAP认证机制用于无线网,也可以用于有线局域网
EAP报文四种消息 1 request  2 response  3 success  4 failure

802.1X、MAC认证方式_802.1X、MAC认证


客户端必须支持EAPOL(局域网上的可扩展认证协议),802.1X认证系统使用EAP,来实现客户端、设备端和认证服务器之间的认证信息的交换,EAP协议报文使用EAPOL封装格式,一种是EAPOR封装格式承载于radius协议中,另一种是EAP协议报文由设备进行终结

802.1X、MAC认证方式_802.1X、MAC认证_02

以上不足就是相对安全移动性差,MAC vlan就是弥补端口vlan不足点,基于源MAC地址决定给报文添加某个vlan的标签,一般和802.1X联合使用

华为交换机配置

radius-server template Dot1x-OFFICE
radius-server authentication 10.10.10.1 1812
radius-server accounting 10.10.10.1 1813
radius-server shared-key cipher admin@123
quit
radius-server authorization 10.10.10.1 shared-key cipher admin@123
aaa
authentication-scheme Dot1x-OFFICE  
authentication-mode radius  
quit
accounting-scheme Dot1x-OFFICE
accounting-mode radius
accounting realtime 15
quit
domain default  
authentication-scheme Dot1x-OFFICE
accounting-scheme Dot1x-OFFICE
radius-server Dot1x-OFFICE
quit
quit
domain default  

authentication free-rule 1 destination ip 10.10.10.1 mask 255.255.255.255  
acl 3001
 rule 1 permit ip  
 quit

dot1x-access-profile name dot1x_access_profile
authentication-profile name dot1x
 dot1x-access-profile dot1x_access_profile

interface GigabitEthernet0/0/7
 authentication-profile dot1x


设备会对在线用户进行arp探测,默认探测周期为300秒(即5分钟),探测arp报文的默认源是255.255.255.255,win7不回应该类型的ARP报文,导致用户探测下线。
两种解决办法:
1、 通过access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address #修改探测的源IP

(注:该vlan-id为认证网络vlan,ip-address为网关地址,MAC地址为网关MAC)
2、升级到V2R7版本以上

access-user arp-detect default ip-address 0.0.0.0 #将ARP探测的默认源IP改为0.0.0.0


802.1X配置

dot1x 开启802.1X特性
dot1x interface g0/1 开启端口的802.1X特性
dot1x authentication-method chap 设置802.1X认证方式
dot1x port-method 设置端口接入控制方式
dot1x guest-vlan 2 interface g0/24 指定来宾vlan和接口
vlan 10
local-user zhangsan
authorization-attribute vlan 10

MAC认证是一种基于端口和MAC地址对用户访问权限进行控制的认证方式,不需要安装任何客户端软件

MAC地址认证方式:
1、远程radius认证
2、本地认证


mac-authentication 启用全局的MAC地址认证

mac-authentication interface G0/0 启动G0/0接口MAC地址认证

mac-authentication user-name-format fix aaa password simple 123456 配置MAC地址认证用户名密码

mac-authentication domain H3C 配置MAC认证用户使用的认证域


MAC地址欺骗主要针对MAC地址表进行,和ARP地址欺骗区别不同
MAC地址欺骗主要利用交换机MAC地址学习机制
***者可以伪装的源MAC地址帧发送给交换机来实施MAC地址欺骗***
MAC地址欺骗***会导致交换机要发送到正确目的地址的数据帧发送给***者

MAC vlan优点:
1、能够实现精确的接入控制,它能精确定义某个终端和VLAN的绑定关系,从而实现将指定终端的报文在指定vlan中转发
2、能够实现灵活的接入控制,同一终端通过不同端口接入设备时,设备会给终端分配相同的vlan

运行机制:当端口收到一个untagged报文后,以报文的源MAC地址为匹配关键字,通过查找MACvlan表项来获知该终端绑定的vlan,从而实现将指定的报文在指定的vlan中转发

MAC vlan表项有两种:静态配置、动态配置
静态配置:手工添加表项、工作量大
动态配置:基于MAC的接入认证,用户会发起认证请求、认证服务器会对认证用户名和密码进行验证,如果通过,则会下发vlan信息

应用限制:
1、MAC VLAN只能在Hybrid端口使用
2、同一个mac地址只能绑定一个vlan
3、采用动态方式配置MAC VLAN时需要结合AAA认证服务器
4、建议不要在聚合成员端口配置MAC VLAN功能

mac-vlan mac-address 0000-dddd-cccc vlan 100

MAC地址表管理
包含设备的端口号以及所属的vlanid

在PC机上安装INode智能管理客户端
节约vlan资源、简化网络配置,安全可靠